Como posso ter certeza de que os pacotes atualizados não estão comprometidos?

Navegue suas respostas
6

Ao tentar instalar tmux , recebo um erro que Untrusted packages could compromise your system's security , semelhante à situação em esta discussão . Corri aptitude update e o pacote foi instalado sem problemas, mas estou preocupado com a possibilidade de a atualização ter sido comprometida. Minha preocupação no aprimoramento é que vejo que a atualização foi feita sem SSL (endereço http): 

 - neptune():~$ sudo aptitude update
Ign http://il.archive.ubuntu.com quantal InRelease
Ign http://il.archive.ubuntu.com quantal-updates InRelease
Ign http://il.archive.ubuntu.com quantal-backports InRelease
Get: 1 http://il.archive.ubuntu.com quantal Release.gpg [933 B]
Get: 2 http://il.archive.ubuntu.com quantal-updates Release.gpg [933 B]
Get: 3 http://il.archive.ubuntu.com quantal-backports Release.gpg [933 B]
Hit http://il.archive.ubuntu.com quantal Release
Get: 4 http://il.archive.ubuntu.com quantal-updates Release [49.6 kB]
Ign http://security.ubuntu.com quantal-security InRelease
Ign http://archive.canonical.com quantal InRelease
Ign http://extras.ubuntu.com quantal InRelease
Ign http://dl.google.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease
Ign http://deb.opera.com stable InRelease
Ign http://ppa.launchpad.net quantal InRelease

EDIT: Agora tenho conhecimento de que o ataque direcionado de sites israelenses em 7 de abril já começou. Portanto, há maior suspeita de um servidor comprometido. Eu poderia encontrar mais informações sobre o ataque, se necessário, embora eu não veja muita menção a isso em sites de notícias em grande escala em inglês.

Esclarecimento: Estou perguntando como garantir que o que eu já baixei e instalei não seja comprometido. Não estou perguntando como a Canonical garante a segurança dos repos.

    
por dotancohen 05.04.2013 / 15:50

2 respostas

3

Eu não posso dizer como você faz isso para todos pacotes, mas aqui está um procedimento possível para pacotes únicos.

Aviso : O site que sugiro usar (estranhamente) não suporta link ainda - então você não pode ter certeza de que está realmente falando com o site correto, que torna o teste muito menos útil do que o esperado - como Eliah Kagan apontou em um comentário.

  1. visite packages.ubuntu.com
  2. selecione sua distro
  3. selecione "todos os pacotes" (abaixo na parte inferior)
  4. pesquise /var/cache/apt/archives e escolha pacotes suspeitos (por exemplo, aqueles com data recente)
  5. execute um sha256sum nesse pacote
  6. escolha esse pacote no site, você recebe
  7. clique no link abaixo de Arquitetura
  8. compare o resultado da etapa 5 com o valor publicado.
por user1721265 05.04.2013 / 21:15
2

Não se preocupe.

Como Eliah explicou em seu comentário , o APT é protegido usando o GnuPG. As chaves públicas para os arquivos do Ubuntu estão instaladas no seu sistema e você deve verificar isso. Após cada download, o arquivo será verificado quanto à integridade pela assinatura GPG / PGP e, portanto, você pode ter certeza de que ninguém adulterou. Caso isso não aconteça, você verá o aviso exato que recebeu em primeiro lugar.

Uma explicação mais detalhada, como encontrar e validar chaves, é descrita aqui: Wiki da comunidade Ubuntu: SecureApt

O uso do SSL não o torna mais seguro. A única coisa que você estará escondendo para todos os pares entre você e o servidor de arquivamento é o que você está transferindo / baixando e não protegerá mais nada em relação à integridade .

    
por gertvdijk 08.04.2013 / 23:27

Tags

Outlook.com e notificador de e-mail do Google Apps para o gnome-shell? Como configurar o Awesome WM com serviços GNOME no Ubuntu arbitrário?